2023年金融机构应用系统安全测试体系建设调研报告
AI智能总结
(内部资料..注意保存) 中国计算机用户协会信息科技审计分会 目录 前言. .....................................................................3 1、.金融机构应用系统安全建设概述...................................5 1.1、金融行业应用系统安全的概述.............................................51.2、金融行业应用系统安全面临的挑战.......................................51.3、金融行业应用系统安全的解决方案.......................................61.4、金融行业应用系统安全的未来展望.......................................61.5、应用系统安全测试体系建设对金融机构的意义.........................8 2、.金融机构应用系统安全测试调研情况分析.........................8 2.1、.调研目的.....................................................................82.2、.调研问卷设计及统计方法.................................................92.3、.问卷回收情况...............................................................9 3、.调研数据分析.......................................................11 3.1、.应用系统安全测试组织架构...............................................113.1.1、.负责应用系统安全部门情况统计...................................113.1.2、.自有应用安全测试团队人员规模情况分析........................113.1.3、.各机构外协应用系统安全测试人员规模...........................123.1.4、.应用系统安全测试领域每年的资金投入量级.....................133.2、.互联网应用系统安全测试需求............................................143.2.1、.各机构提供服务的互联网应用系统数量...........................143.2.2、.C/S 架构应用的安全测试需求......................................143.2.3、.开展应用系统安全测试的计划......................................153.2.4、.提供服务的互联网应用类型.........................................163.2.5、.互联网应用中 APP 和小程序占比.................................163.2.6、.互联网应用服务涵盖的业务范围...................................173.2.7、.互联网应用服务发布 / 更新频次....................................173.2.8、.互联网应用上线后的安全测试频率................................183.2.9、.安全测试对互联网应用系统的覆盖情况...........................193.3、.非互联网应用系统安全测试需求.........................................19 3.3.1、.各机构提供服务的非互联网应用系统数量........................193.3.2、.内部应用系统安全测试团队建设情况..............................203.3.3、.内部应用上线后进行安全测试的频率..............................213.3.4、.安全测试对内部应用系统的覆盖情况.............................213.4、.各机构应用系统安全测试质量管理情况.................................223.4.1、.应用安全测试质量对安全管理需求的满足情况..................223.4.2、.各单位当前的应用安全测试管理水平..............................233.4.3、.软件安全开发全流程(SDLC)建立情况........................233.4.4、.目前已经采用的应用安全测试方式................................243.4.5、.应用安全测试过程中重点关注的内容.............................243.4.6、.以往开展的应用安全测试过程中主要检查的内容...............253.4.7、.平均每人天检测出的应用服务上线前安全缺陷数量.............263.4.8、.平均每人天检测出的应用服务上线后漏洞数量..................263.4.9、.应用安全测试工具及其主要来源...................................263.4.10、.对应用安全测试的审计情况.......................................273.5、.各机构应用系统安全测试标准化程度...................................283.5.1、.应用安全测试标准或规范建立情况................................283.5.2、.测试人员实施或培训技术指南形成情况...........................283.5.3、.应用安全测试质量衡量准则建立情况..............................293.5.4、.应用系统安全测试中使用的标准和规范...........................303.6、.各机构应用系统安全测试待解决问题...................................303.6.1、.应用安全测试过程中经常遇到的问题.............................303.6.2、.应用安全测试工作最大的难点......................................313.6.3、.希望分会提供的应用安全测试领域服务...........................32 4、.对金融机构应用系统安全测试体系建设的建议....................32 4.1、.金融机构应用系统安全的发展趋势......................................324.2、.加强应用系统安全测试规范性建设......................................334.3、.建立科学、规范、安全的应用系统开发上线流程.....................334.4、.建立科学、高效的应用系统安全测试标准并定期更新................344.5、.加强组织建设和人员能力提升............................................344.6、.建议并逐步完成软件安全开发全生命周期流程........................35 5、.报告编写团队.......................................................36 前言 2023 年 2 月 3 日 至 3 月 15 日 开 展 了 会 员 走 访 和 调 研, 征 询 会 员 单 位 对 分会 2023 年工作计划的建议,收集会员对团体标准建设和应用的意见 . 本次调研共走访 28 家会员单位,其中银行 16 家,其中国有大型银行 3 家,股份制银行 7家、城商行 1 家、农商行 2 家、民营银行 1 家、合资银行 1 家、外资银行 1 家,保险机构 2 家,非银机构 1 家,大学机构 1 家,科技企业 7 家、第三方机构 1 家。会 员 单 位 共 提 出 17 个 研 究 课 题, 团 体 标 准 类 预 研 课 题 10 项, 其 中“ 金 融 机 构应用系统安全测试规范”关注度较高。 分会副理事长单位中国农业银行股份有限公司科技部门十分重视应用系统安全测试管理体系建设,经过多年实践、积累和不断优化,测试管理体系日臻完善,并形成管理规范,得到了有关部门和同业的一致肯定。信息科技审计分会根据会员需求,组织中国农业银行股份有限公司、新华三集团等会员单位组成研究小组对建立“金融机构应用系统安全测试规范”团体标准的必要性、可行性和效益性展开预研。 2023 年 8 月,《金融机构应用系统安全测试规程》团体标准起草组(以下简称“起草组”)成立。由分会副理事长单位中国农业银行股份有限公司担任组长单位,中国建设银行股份有限公司、华夏银行股份有限公司、上海浦东发展银行股份有限公司、中国光大银行股份有限公司、渤海银行股份有限公司、九江银行股份有限公司、深圳前海微众银行股份有限公司、开泰银行(中国)有限公司、浙江农商联合银行股份有限公司、中国人寿保险集团股份有限公司、山东重工集团财务公司、南京审计大学、北京信息科技大学、中治研 ( 北京 ) 国际信息技术研究院等金融机构用户、大学及科研机构,以及副组长单位新华三技术有限公司为代表的 10 多家信息安全企业共 30 多家会员单位参加起草组。 该标准将发挥产学研协同优势,汇聚行业领先用户和企业经验,以行业最佳实践为基础,对金融机构应用系统的安全测试流程、测试范围、测试方法和测试要求进行规范,合力强化金融行业互联网应用系统的安全测试原则和体系架构。为金融机构应用系统的安全和服务效能提升提供标准遵循,助力金融信息安全整体水平提升。 根据计划,起草组在标准编写过程中,开展了金融机构应用系统安全领域专题调研。 本次调研是为金融机构、监管部门、相关研究机构、企业和行业组织了解金融机构应用系统安全体系建设情况提供参考,同时,为团体标准《金融机构应用系统安全测试规程》的编写和应用提供行业依据。 本次调研要感谢参与问卷设计和报告编写的各会员单位,《金融机构应用系统安全测试规程》团体标准起草组成员。同时,也对参与本次问卷调研的单位表示最诚挚的谢意!特别感谢新华三技术有限公司、北京安全共识科技有限公司、四维创智(北京)科技发展有限公司、奇安信网神信息技术(北京)股份有限公司、北京赛博昆仑科技有限公司、上海斗象信息科技有限公司、北京神州绿盟科技有限公司、北京奇虎科技有限公司、北京长亭科技有限公司、远江盛邦(北京)网络安全科技股份有限公司等单位对本次调研提供的赞助。 由于受调研抽样范围、问卷设计、问卷理解和对相关信息解读视角等因素制约,本调研报告内容和观点可能存在偏差或有待完善之处,不当之处敬请各位领导、专家批评指正,提出建议和指导,以便于我们持续完善和改进。 《金融机构应用系统安全测试规程》团体标准起草组 1、金融机构应用系统安全建设概述 1.1、金融行业应用系统安全的概述 应 用 系 统 安 全 是 指 在 金 融 机 构 中 保
